点击上方蓝字“赛博星人”,关注我们
【漏洞背景】
8月21和8月22号,互联网爆发针对Struts2及GhostScript网络攻击行为,普华永道擎天安全实验室监测到互联网大量攻击请求,并检测到的数据中有54%已被成功挂马。
ghostscript是什么?
ghostscript应用广泛,ImageMagick、python-matplotlib、libmagick 等图像处理应用均有引用软件;
Struts2是什么?
Struts2是一种国内使用非常广泛的Web应用开发框架,被大量的政府、金融以及大中型互联网公司所使用。
【漏洞危害】
由于恶意攻击者可直接利用该漏洞在使用了以上服务或应用组件的服务器上执行任意命令,完成控制该网站/服务器,从而入侵内网,盗取核心数据。
【影响版本】
【Ghostscript】:
本次漏洞带来的影响巨大,全版本及全平台均受到了此漏洞的影响
除了其本身以外,所有引用ghostscript的上游应用也会收到此影响。 常见的引用应用如下:
• imagemagick
• libmagick
• graphicsmagick
• gimp
• python-matplotlib
• texlive-core
• texmacs
• latex2html
• latex2rtf等
【Struts2】:
Struts 2.3 – Struts 2.3.34;
Struts 2.5 – Struts 2.5.16;
【风险级别】
高
【漏洞利用过程】
普华永道擎天安全实验室在接收到该漏洞信息后第一时间进行了漏洞跟踪,并成功在复现。首先在靶机上编辑如下POC代码然后保存为图片后缀格式的文件
然后再另外一台远程VPS上开启监听
接着在靶机上进行图片解析
紧接着就可以看到靶机上执行了命令,回到VPS上查看确认是否真的执行,
可以看到VPS上收到了来自远程靶机的请求,现在可以确认命令执行成功
【修复方案】
【Ghostscript】:
目前官方未给出缓解措施,建议卸载ghostscript。
使用ImageMagick,建议修改policy文件(默认位置:/etc/ImageMagick/policy.xml),在<policymap> 中加入以下 <policy>(即禁用 PS、EPS、PDF、XPS coders):
<policymap>
<policy domain="coder" rights="none"pattern="PS" />
<policy domain="coder" rights="none"pattern="EPS" />
<policy domain="coder" rights="none"pattern="PDF" />
<policy domain="coder" rights="none"pattern="XPS" />
</policymap>
【Struts2】:
一、Struts2版本自查,各系统负责人确认自身系统使用版本,并确认是否为该影响 的版本内,若有影响进行如下操作:
1.升级到Apache Struts 2.3.35 or Struts 2.5.17最新版本。
2.修改struts配置文件,将alwaysSelectFullNamespace属性设置为false。如下所示:
<constant name="struts.mapper.alwaysSelectFullNamespace" value="false" />
package标签以及result标签要设置固定namespace标签,禁止使用通配符。正确设置方法如下图所示:
二、及时更新防火墙、WAF、IPS等防御产品的策略
本文始发于微信公众号(赛博星人):你的网站已被挂马---Struts2及GhostScript远程执行漏洞预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论